摘 要:随着计算机和互联网的迅速发展,IPv6取代IPv4成为新的IP协议势在必行。新的网络协议的出现使得原有的安全体系不得不做出重大调整。本文从IPv6协议在过渡和完全替代过程中所面临的安全问题进行研究,对信息安全等级保护测评所面临的问题进行讨论,以达到尽早准备、尽早防护的目标,为新的信息安全防护及测评提供思路。
【关键词】IPv6 等级保护 安全测评 信息安全
1 引言
IPv4网络架构是采用了基于可信网络方式设计的,它符合设计时网络需要,但是安全性较差,它认为应由网络的应用层来负责,而IPv6通过IpSec集成来实现IP级安全性,对遏制之前影响信息安全较大的扫描、嗅探、泄密等问题上有了明显改善。但是IPv6引入的部分安全机制时,也带来了新的安全问题。本文围绕新的网络协议存在的安全问题展开讨论,就IPv6过渡时期存在的等级保护问题和建设完成后网络在网络设备、协议层面、人员管理、软件支持等各个方面提出防护建议。
2 网络协议发展及IPv6概述
2.1网络协议发展现状
目前我们所使用的Ipv4技术在互联网应用初期给了我们很大帮助,但是随着互联网的发展和互联网用户的迅速增多,可用的IP地址已处于近乎枯竭的状态,而且由于早期信息发展环境的原因,IP地址分配也有着很大的不合理性,严重制约了我国以及其他一些国家互联网的应用和发展。IPv6就是在这种背景环境下产生的。中国互联网络信息中心(CNNIC)在《2011年中国互联网络发展状况统计报告》中显示大多数国家都在加快对IPv6技术的商业化部署,西欧、日本在IPv6商业化进程中处于领先地位,其次是美国,中国方面,IPv6地址申请量也在快速增长。
2 IPv6技术协议简介
IPv6技术协议是下一代互联网技术协议的简称,它是IETF(Internet Engineering Task Faree)设计用来代替Ipv4技术的一种新的IP地址协议。IPv4在当时取得了非常大的成功,但是它在地址数量上的问题严重制约了它的下一步发展。IPv6最显著的优点就是它将地址长度定义为了128位,使得它所拥有的地址数量达到2128-1个,是Ipv4的约8*1028倍,满足了互联网发展的需求。而且,它的安全性能也是可圈可点的。
2.1 IPv6数据包
IPv6数据包,在Ipv4基础上做了很大的改进,它去掉了几个在Ipv4协议中存在的字段:报头长度、标志、标识、报头校验、分段偏移量、选项和填充。IPv6把原来存在于Ipv4包头内的可选字段都拿到包头外面,放到了扩展包内,由于扩展包头不需要遍历路由器,这样就极大的减少了数据包发送过程的中间处理流程,数据传输效率大大提高。
2.2 IPv6地址的长度
Ipv4地址是点分十进制格式,它将Ipv4地址分为四段,每段八位,采用十进制表示。IPv6地址是冒号分十六进制格式,它将IPv6地址分为八段,每段十六位,采用十六进制表示。
3 IPv6协议的安全优势与存在的问题
3.1 IPv6协议的安全优势
3.1.1 集成了IpSec
IpSec策略是Ipv4的一个可选的扩展协议,但对IPv6而言,它又是一个强制性组成部分。IpSec安全架构可以较为完美的为IPv6协议体系下的网络层数据传输提供安全服务,解决了网络层上端到端数据安全传输的问题,提供包括安全接入控制、数据源认证、无连接完整性、机密性、抗重发保护等的安全服务。
3.1.2 地址类型更为广泛
IPv6地址长度扩大的优点,使得多种病毒、简单的网络扫描工具无法使用。它采用了地址聚类机制,可以非常灵活的定义层次寻址以及路由结构。IPv6协议取消了广播地址,这可以阻止攻击者通过广播网段发送大量数据包所引起的网络放大攻击。
3.2 存在的信息安全问题
IPv6协议的网络架构跟Ipv4协议基本相同,对于网络安全来讲,安全性并没有得到根本性的提升。当IP地址变得足够可用以后,原有的NAT等技术可能将被淘汰,这将使所有主机都有可能可以被访问到,对于信息安全而言是一个非常不利的因素。在由IPv4向IPv6过渡期间以及过渡完成后,信息网络复杂性和系统漏洞都将极大增加,与此同时也存在着很多未知的安全因素,因此安全防护问题是我们下一步将面临的一个特别重大的问题。
4 过渡期间IPv6安全防护
4.1 过渡期间的安全问题
在由Ipv4协议向IPv6协议过渡的双栈共存阶段,物理层、网络链路层和应用层的许多安全问题仍旧存在,网络环境也更加的复杂。由于IPv6不是对Ipv4向后兼容的,现存的许多过渡技术会导致数据流量的复杂性极大增加,攻击者可以通过利用它掩盖其绕过网络安全防护控制的企图。
4.2 过渡时期的安全防护
4.2.1 地址保密
在选用IPv6地址时,要以可汇聚和不可猜测为准则,不要选择比较特殊的IPv6地址,如每段相同或者顺序递增递减的IP地址。许多网络运维人员为了配置上简便,经常采用将Ipv4地址嵌入IPv6中的方式,这种方法虽然操作方便,但是存在着很大的安全隐患。
4.2.2配置保护
IPv6协议具有即插即用的特性,这对网络运维人员来说是一种便利,但不管是全状态还是无状态的自动配置,对黑客而言,都具有一定的可乘之机,因此在采用全自动配置的情况下,尽量增加访问控制或身份鉴别来加以控制。
4.2.3 增加双栈支持设备
传统的网络安全设备一般不支持IPv6,因此对支持IPv6设备的防火墙等安全设备可以采用升级IOS等方式进行解决,或者直接选用同时支持Ipv4和IPv6的安全设备。